SELIUNX的介绍及简单配置

最新推荐文章于 2022-11-16 00:27:39 发布
最新推荐文章于 2022-11-16 00:27:39 发布
阅读量726 收藏 1
点赞数 1
文章标签: Linux 互联网 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43791474/article/details/85118634
版权

一、selinux的设置
我们首先介绍selinux(selinux在工作当中默认关闭的)
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。
SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。
1.对内核对象和服务的访问控制
2.对进程初始化,继承和程序执行的访问控制
3.对文件系统,目录,文件和打开文件描述的访问控制
4.对端口,信息和网络接口的访问控制
在linux里所有的文件和进程都有一个值,这个值被称为安全值,当我满足或者匹配到这个安全值,那么才能进行访问。(http默认目录是在/var/www/html当我将这个默认的访问目录更改时你默认创建的 目录对应性另一个安全值,而我们默认访问的就是第一种安全值所以如果开启了selinux则不能访问更改后目录的东西)-------安全子系统
服务—selinux —tcp_warpper --iptable/firewalld—硬件里
selinux级别
enforcing: 强制(一定会生效)违反策略的行动都会被禁止
permissive: 允许,警告
disable: 禁用类似于没有selinux功能的系统
级别切换
禁用<–>强制:下次启动生效
禁用<–>警告:下次启动生效
强制<–>警告:即时生效
在将selinux的模式改为强制访问模式后重启会特别慢的原因……selinux在操作系统的安全体制结构上进行扩张,增强对进程模块文件打上了一些安全标记
SELINUX配置文件
/etc/selinux/config
#查看级别
[root@web ~]# getenforce
#使用命令行切换级别
setenforce 0
setenforce 1
#修改级别
#直接编辑/etc/selinux/config
SELINUX=enforcing
在这里插入图片描述
#修改完成后重启才能生效
#查看selinux状态
[root@web ~]# sestatus
#查看selinux值
[root@web ~]# ll -Z
在这里插入图片描述
#查看context值的变化
[root@web ~]# touch 1
[root@web ~]# cp 1 /tmp
[root@web ~]# ll -Z /tmp
#该文件的context值会随着目录的作用和环境的不同而发生改变,该值会继承上一级目录的context值
system_u:object_r:admin_home_t:s0
这条语句通过:划分成了四段,第一段 system_u 代表的是用户,第二段 object_r 表示的是角色,第三段是SELinux中最重要的信息,admin_home 表示的是类型,最后一段 s0 是跟MLS、MCS相关的东西,暂时不需要管
①system_u指的是SElinux用户,root表示root账户身份,user_u表示普通用户无特权用户,system_u表示系统进程,通过用户可以确认身份类型,一般搭配角色使用。身份和不同的角色搭配时有权限不同,虽然可以使用su命令切换用户但对于SElinux的用户并没有发生改变,账户之间切换时此用户身份不变,在targeted策略环境下用户标识没有实质性作用。
②object_robject_r一般为文件目录的角色、system_r一般为进程的角色,在targeted策略环境中用户的角色一般为system_r。用户的角色类似用户组的概念,不同的角色具有不同的身份权限,一个用户可以具备多个角色,但是同一时间只能使用一个角色。在targeted策略环境下角色没有实质作用,在targeted策略环境中所有的进程文件的角色都是system_r角色。
③admin_home文件和进程都有一个类型,SElinux依据类型的相关组合来限制存取权限。
案列1:
使用httpd服务演示context值得设定
保证selinux开启
保证防火墙开启
安装HTTP包 yum install http -y
创建web服务内容目录
mkdir -pv /www/80
echo this is 80 > /www/80/index.html
编辑HTTP的主配置文件
在这里插入图片描述
然后保存退出。
这时候去服务器访问并不会出现this is 80
原因是你创建的目录的context值为默认的在这里插入图片描述
这里需要修改/www/的值为 httpd_sys_content_t 在这里插入图片描述
这时候重启服务 在去浏览器访问就可以出现在这里插入图片描述
这就是context值的作用 。这里还要说的是web服务的默认目录是/var/www/html 若你直接将文件创建在默认目录下就不需要修改context值。
案例2:使用web服务端口的改变来演示端口的设定。
创建一个8888端口的web服务目录和默认页面
[root@web ~]# mkdir -p /www/8888
[root@web ~]# echo ‘welcome to 8888!!!’ > /www/8888/index.html
#在上个案例的页面中添加如下内容:
LISTEN 8888在这里插入图片描述
现在是肯定访问不了
所以问们要添加自定义端口
semanage port -a -t http_port_t -p tcp 8888
在访问浏览器就可以进入
在这里插入图片描述
接下来使用ftp服务演示布尔值的设定
修改以下几条参数
[禁止匿名用户]
anonymous_enable=no
[禁止遍历]
首先开启chroot选项
allow_writeable_chroot=YES
打开chroot选项
chroot_list_enable=YES
确保以下选项参数无误
local_enable=YES
write_enable=YES
进入浏览器访问ftp服务器是输入用户名和密码和服务器仍然拒绝
修改布尔值打开/home目录的权限
[root@localhost haha]# getsebool -a | grep ftp_home_dir
ftp_home_dir --> off
[root@localhost haha]# setsebool -P ftp_home_dir on在这里插入图片描述
开启之后就可以访问该用户的家目录了。
使用图形界面切换级别
安装policycoreutils-gui
执行system-config-selinux在这里插入图片描述
进入图形化界面进行操作。

Tiamo丶Ella
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SELinux整理笔记
liguangxianbin的博客
05-25 5226
摘要:SELinux相关资料下载可以在我的资源里面找到.首先转载了一篇基础的文章,后面是我看文档摘抄下来的总结.http://baijiahao.baidu.com/s?id=1590170088632157084&amp;wfr=spider&amp;for=pc一、前言安全增强型 LinuxSecurity-Enhanced Linux)简称 SELinux,它是一个 Linux 内核模块,...
01ELK 7.7 日志服务器搭建及配置
孤剑辰的博客
06-13 1437
ELK 日志服务器搭建及配置 ELK介绍 什么是 ELK Stack? 很简单,指的就是 Elastic Stack。 那么,ELK 到底是什么呢? “ELK”是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在..
linuxselinux参数,SELinux配置文件(/etc/selinux/config)
weixin_39669075的博客
05-13 344
我们知道,SELinux 是预先配置的,可以在不进行任何手动配置的情况下使用 SELinux 功能。然而,一般来说,预先配置SELinux 设置很难满足所有的 Linux 系统安全需求。SELinux 配置只能有 root 用户进行设置和修改。配置和策略文件位于 /etc/selinux 目录中,主配置文件位 /etc/selinux/config 文件,该文件中的内容如下:[root@loc...
SELINUX
weixin_52222937的博客
04-02 1271
SELINUX
linux——selinux
weixin_41789003的博客
04-27 279
一、selinux插件,是系统级别的防火墙设置 1、SELINUX ( 安全增强型 Linux ) 是可保护你系统安全性的额外机制,在某种程度上 , 它可以被看作是与标准权限系统并行的权限系 统。在常规模式中 , 以用户身份运行进程 , 并且系统上的文件和其他资源都设置了权限 ( 控制哪些用户对哪些文件具有哪些 访问权 SELINUX 的另一个不同之处在于 , 若要访问文件 ,你必须具有普通...
linux selinux_安全Linux:第1部分。SELinux –其开发,架构和操作原理的历史
cuyi7076的博客
07-06 363
SELinux的历史 在美国国家安全局(NSA)内部启动了涉及开发安全增强型Linux®(SELinux)(该系统提供强制访问控制)的项目。 安全计算公司(SCC)和MITER公司以及许多研究实验室直接参与了开发。 它作为通用访问软件产品(根据GPL许可证分发了源代码)于2000年12月发布。NSA发行了特别的新闻稿来标记这种情况(请参阅参考资料 )。 到那时,作为几个半研究/半军事项目的...
Linux下kafka集群与zookeeper简单安装配置和使用
m0_59691154的博客
06-25 372
小编这里以两台机器为列 一丶安装kafka与配置 1.先安装java,因为kafka是基于Java开发的 使用命令:yum install java -y 2.安装kafka 推荐在/opt目录下载 wget https://mirrors.bfsu.edu.cn/apache/kafka/2.8.0/kafka_2.12-2.8.0.tgz ...
centos7搭建vsftpd-配置文件全解
freemanSeven的博客
04-23 6261
centos7搭建vsftpd参考:https://blog.csdn.net/aerchi/article/details/78042443参考:https://blog.csdn.net/will0532/article/details/79175478参考:https://blog.csdn.net/m47838704/article/details/51636379原则:要想安全地配置vs...
项目二 使用vim编辑器配置网络(任务三和任务四)
tx16_38381516141的博客
03-25 297
  任务三  使用vim编辑器配置网络【任务说明】      vim是Linux系统上最著名的文本/代码编辑器,也是早年的vi编辑器的加强版,而gvim则是其Windows版。它的最大特色是完全使用键盘命令进行编辑。脱离了鼠标操作虽然使得入门变得困难,但上手之后键盘流的各种巧妙组合操作却能够带来极大的效率提升。     本任务的主要目的是在学习vim编辑器的同时配置Linux系统的网络。  【任...
项目二 任务三 使用vim编码器配置网络
tx16_38381516113的博客
03-25 363
【任务说明】       vim是Linux系统上最著名的文本/代码编辑器,也是早年vi编码器的加强版,而gvim则是其Windows版。他的最大特色是完全使用键盘命令进行编码。脱离了鼠标操作虽然使得入门变得困难,但上手之后键盘流的各种及其组合去能带来极大的效果提升。      因此,vim和现代的编码器(如Sulime Text)有着非常巨大的差异,而且入门学习曲线陡峭,需要记住很多按键组合和命...
我使用过的linux命令之strace
copbint
04-30 512
strace常用来跟踪进程执行时的系统调用和所接收的信号。 在Linux世界,进程不能直接访问硬件设备,当进程需要访问硬件设备(比如读取磁盘文件,接收网络数据等等)时,必须由用户态模式切换至内核态模式,通过系统调用访问硬件设备。strace可以跟踪到一个进程产生的系统调用,包括参数,返回值,执行消耗的时间。 最常用选项: -f 跟踪由fork调用所产生的子进程. -ff 如果提供-o filena...
SELinux学习:label相关
Linux
01-04 1218
参考链接: SELinux 安全策略解析 Understanding SELinux File Labelling and SELinux Context Practical SELinux for the beginner: Contexts and labels Security-Enhanced Linux SELinux/Labels SELinux/EnforcePolicy SELinux AVC denies at boot SELinux 及 permision denied 问题 SELi
selinux 简介
qq_43679416的博客
09-07 1654
SELinux(Security-Enhanced Linux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。 SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进程、应用和文件)之间的交互,安全策略指定如何严格或宽松地进行检查。(权限) 1.对内核对象和服务的访问控制 2.对进程
SELinux详解
even160941的博客
05-04 1827
基本SElinux安全性概念 SELinux(Security-Enhanced Linux,安全增强型Linux)是可保护你系统安全的额外机制。在某种程度上,它可以被看作是与标准权限系统并行的权限系统。在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限(控制哪些用户对哪些文件拥有哪些访问权,SElinux的另一个不同之处在于,若要访问文件,你必须具有普遍访问权限和SEli...
SELINUX控制
Vincent's tech blog
05-18 447
所有操作系统访问控制都是以关联的客体和主体的某种类型的访问控制属性为基础的。在SELinux中,访问控制属性叫做安全上下文。所有客体(文件、进程间通讯通道、套接字、网络主机等)和主体(进程)都有与其关联的安全上下文,一个安全上下文由三部分组成:用户、角色和类型标识符。常常用下面的格式指定或显示安全上下文: USER:ROLE: TYPE[LEVEL[:CATEGORY]] ① USER ...
selinux
qq_52679886的博客
11-16 268
selinux
内核级加强型火墙selinux的使用方法!!!!
qwerty1372431588的博客
11-18 167
内核级加强型火墙selinux一级目录 一级目录
linux之什么是SElinux?内核级加强型火墙SElinux的管理,SElinux怎么排错?
Tuki来了
05-21 383
SElinux什么是SElinuxSElinux的开启关闭以及状态查看实验环境设定SElinux的安全上下文1. 查看 什么是SElinuxSELinuxSecurity Enhanced LinuxLinux内核子系统的一个健壮的强制控制访问Mandatory Access Control架构 SELinux主要是红帽Red Hat Linux以及它的衍生发行版上的一个工具 类似地, Ubuntu 和 SUSE(以及它们的衍生发行版)使用的是 AppArmor。 SELinux和AppArmo
关于SELinux的一些知识(工作当中都是默认关闭的)
qq_41218884的博客
12-20 1792
一、基本概念 SELinux(Security-EnhancedLinux) 是美国国家安全局(NSA)对于强制访问控制的实现,是 Linux历史上最杰出的新安全子系统。 SELinux提供了一种灵活的强制访问控制(MAC)系统,且内嵌于Linux Kernel中。SELinux定义了系统中每个【用户】、【进程】、【应用】和【文件】的访问和转变的权限,然后它使用一个安全策略来控制这些实体(用户、进...
seliunx权限问题
最新发布
05-09
Linux 中,权限是非常重要的概念,它控制着系统中各个文件和目录的访问权限。在使用 Linux 时,有时候会遇到一些权限问题,例如无法访问某些文件、无法执行某些命令等等。下面是一些常见的 selinux 权限问题以及解决方法: 1. SELinux 导致无法读写某些文件或目录 如果遇到无法读写某些文件或目录的问题,可以使用命令 ls -Z 查看文件或目录的 SELinux 安全上下文,例如: ``` $ ls -Z /var/www/html/index.html -rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www/html/index.html ``` 如果文件或目录的安全上下文不是默认的值,可能会导致访问权限问题。可以使用命令 chcon 修改文件或目录的安全上下文,例如: ``` $ chcon -v --type=httpd_sys_content_t /var/www/html/index.html ``` 2. SELinux 导致无法执行某些命令 如果遇到无法执行某些命令的问题,可以使用命令 setenforce 0 临时关闭 SELinux,例如: ``` $ setenforce 0 ``` 这样可以暂时解决问题,但不建议长期禁用 SELinux,因为这会降低系统的安全性。如果确实需要执行某些命令,可以使用命令 semanage permissive -a <command> 将其设置为 SELinux 宽容模式,例如: ``` $ semanage permissive -a httpd_t ``` 这样可以让 SELinux 在执行该命令时不会阻止其运行,但仍会记录相应的安全事件。 总之,SELinux 是一种非常重要的安全机制,在使用 Linux 时要注意相关的权限问题,并且尽量不要禁用 SELinux
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值